Projet

Général

Profil

Vpn doc user » Historique » Version 62

Mossroy Mossroy, 13/01/2019 09:33
Ajout de quelques précisions sur la méthode Network Manager suite à un problème que j'ai rencontré

1 11 Baptiste Jonglez
h1. Documentation utilisateur pour le VPN Illyse
2 7 Baptiste Jonglez
3
{{>toc}}
4 1 Pierre-Arnaud Poudret
5 8 Baptiste Jonglez
Le VPN d'Illyse utilise **OpenVPN**, qui a l'avantage de fonctionner sur à peu près n'importe quelle plate-forme (GNU/Linux, OS X, Windows, Android, …)
6 1 Pierre-Arnaud Poudret
7 8 Baptiste Jonglez
Cette page sert de documentation utilisateur.  Pour l'instant, elle contient principalement des exemples de fichier de configuration pour le client openvpn.
8 1 Pierre-Arnaud Poudret
9 8 Baptiste Jonglez
Les fichiers de configuration donnés ici sont génériques, au sens où le reste de la configuration se fait via l'interface web abonné Illyse : https://coin.illyse.org/ (adresses IP à utiliser sur le tunnel, etc).
10 1 Pierre-Arnaud Poudret
11 18 Nicolas Nadisic
h3. Avant de commencer 
12
13
Se connecter au SI d'Illyse avec le nom d'utilisateur communiqué par mail : "COIN.":https://coin.illyse.org/members/login/?next=/ Si c'est votre première connexion, choisir un mot de passe pour COIN et bien le retenir.
14
15 44 Florent Guillot
Aller dans la catégorie "Mes Abonnements". Si rien n’apparaît alors que vous avez souscrit au VPN, contacter adminsys@illyse.org.
16
17
A la ligne "VPN", cliquer sur "*Configuration*". Noter le nom d'utilisateur (le mieux est de le copier dans un fichier texte brut, nous verrons pourquoi ensuite). Générer un mot de passe et le copier dans le même fichier. Attention, si vous perdez votre mot de passe il faudra en générer un nouveau.
18
Si on installe le VPN sur une "brique internet":https://labriqueinter.net/ , noter aussi l'adresse IPv4 et l'adresse IPv6 liées à votre VPN.
19 18 Nicolas Nadisic
20 11 Baptiste Jonglez
h2. Note importante sur la sécurité
21 1 Pierre-Arnaud Poudret
22 13 Rémi Bouhl
Le VPN Illyse fournit une **IPv4 publique** et de l'IPv6 (elle aussi publique, évidemment).  **Aucun pare-feu (firewall) n'est en place côté Illyse** : assurez-vous d'avoir un **pare-feu (firewall)** sur votre machine lorsque vous utilisez le VPN. 
23 14 Rémi Bouhl
De plus il est possible que votre pare-feu considère la connexion VPN comme faisant partie d'un réseau "privé" et abaisse le niveau de sécurité sur cette connexion. 
24 1 Pierre-Arnaud Poudret
25 13 Rémi Bouhl
Vous pourriez vous retrouver à exposer sur Internet, entre autres :
26
27 22 Baptiste Jonglez
* un serveur SSH, avec des mots de passe faibles,
28
* un serveur Web, avec une application en cours de développement,
29
* un serveur mail mal configuré, susceptible de relayer du spam (open-relay) et de provoquer rapidement l'inscription de votre adresse IP dans des listes noires (RBL),
30
* le protocole SMB sur les systèmes Microsoft Windows, qui permet entre autres d'accéder aux partages réseaux et aux imprimantes.
31 13 Rémi Bouhl
32
Gardez à l'esprit que votre adresse IPv4 publique sera l'objet de scans intensifs depuis Internet, surtout si elle est utilisée pour la première fois.
33
34
Illyse vous fournit un accès à Internet neutre, ce qui signifie entre autres que l'association ne se permet pas de décider à la place ses abonnés de ce qu'il faut filtrer sur leur connexion. 
35
 
36
N'hésitez pas à demander de l'aide, à poser des questions, dans l'association ou ailleurs, pour conserver la pleine maîtrise de votre connexion :)
37 11 Baptiste Jonglez
38 24 Baptiste Jonglez
h2. Paramètres de connexion OpenVPN
39 12 Baptiste Jonglez
40 23 Baptiste Jonglez
Si vous savez déjà utiliser OpenVPN, les informations les plus importantes sont les suivantes :
41
42
* *Serveur :* vpn.illyse.net
43
* *Protocole :* UDP recommandé, TCP possible
44
* *Port :* quelconque (1194 est le port standard OpenVPN, mais tous les ports mènent au serveur VPN)
45
* *Compression :* non
46
* *Fragmentation :* 1300 octets
47
* *TCP MSS fix :* 1300 octets
48
49
Notez donc que le serveur OpenVPN d'Illyse écoute à la fois en UDP et en TCP, et ce, sur n'importe quel port.  Si vous êtes sur un réseau complètement bloqué mais que UDP/53 ou TCP/443 passe, pas de problème, le VPN passe !
50 12 Baptiste Jonglez
51
Pour des raisons de performance, UDP est recommandé.  N'utilisez le mode TCP qu'en dernier recours.  Référence : http://sites.inka.de/bigred/devel/tcp-tcp.html
52
53 15 Rémi Bouhl
h1. Exemples de configuration.
54
55 17 Nicolas Nadisic
Ces exemples de fichiers de configuration sont là pour vous aider à vous connecter au VPN.
56
57 53 Florent Guillot
h2. GNU/Linux (Debian Stretch)
58 17 Nicolas Nadisic
59
h3. Pour les débutants 
60 1 Pierre-Arnaud Poudret
61 53 Florent Guillot
* Installer OpenVPN : ouvrir un terminal et taper "sudo apt install openvpn". 
62 56 Florent Guillot
* Créer le fichier de configuration openvpn: "sudo nano /etc/openvpn/illyse.conf" Copier dedans la configuration [[Vpn_doc_user#etcopenvpnillyseconf|ci-dessous]].
63 53 Florent Guillot
* Fermer nano en utilisant Ctrl + X, suivi de la touche "O" pour indiquer que l'on souhaite sauvegarder.
64 1 Pierre-Arnaud Poudret
65 56 Florent Guillot
* Créer le fichier texte nommé credentials ("sudo nano /etc/openvpn/credentials") et y insérer le nom d'utilisateur et le mot de passe donnés par COIN (une ligne chacun, voir modèle [[Vpn_doc_user#etcopenvpncredentials|ci-dessous]]).
66 53 Florent Guillot
* Lancer le VPN avec la commande "sudo systemctl start openvpn@illyse". Ça devrait fonctionner ! 
67
* Pour que le VPN se lance automatiquement à chaque démarrage, utiliser la commande "sudo systemctl enable openvpn@illyse"
68
69
Pour vérifier si le VPN est bien lancé, une méthode simple est d'utiliser un site comme http://www.test-ipv6.com/ qui donne les adresses IP utilisées par son PC pour sortir sur internet. Si l'on passes bien par le VPN, on retrouve ses IP Illyse (aussi affichées par COIN).
70
71
En cas de problème, vérifier les étapes précédentes, et la connexion Internet. Si ça ne fonctionne toujours pas, écrire un gentil mail à support@illyse.org en donnant le résultat des deux commandes suivantes : 
72
- sudo systemctl status openvpn@illyse
73
- sudo tail -f -n 100 /var/log/openvpn-illyse.log
74
75
76 55 Florent Guillot
Pour stopper le VPN, taper la commande "sudo systemctl stop openvpn@illyse". (et "sudo systemctl disable openvpn@illyse" si l'on ne veut plus que le VPN se lance automatiquement au démarrage du PC)
77 17 Nicolas Nadisic
78
h3. Fichier de configuration OpenVPN
79
80 12 Baptiste Jonglez
La configuration est commentée, n'hésitez pas à changer des paramètres.  Avec les paramètres ci-dessous, une IPv4 et une IPv6 seront attribués, et tout le trafic passera par le VPN.
81 1 Pierre-Arnaud Poudret
82 54 Florent Guillot
h4. +/etc/openvpn/illyse.conf+
83
84 1 Pierre-Arnaud Poudret
<pre>
85
# C'est nous qui prenons l'initiative de nous connecter au serveur.
86
client
87
88
# On route de l'IP, on ne fait pas de l'ethernet.
89
dev tun0
90
91
# si on ne reçoit pas d'IP pour tun0:
92
# - soit on configure l'interface avec des ip privées bidon
93
#ifconfig 10.255.255.1 10.255.255.2
94
# - soit on utilise un script pour faire "ifconfig tun0 up"
95
#script-security 2
96
#up up.sh
97
98
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
99
# cependant notable que les restrictions d'accès Internet laissent souvent
100
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
101
# pas, essayez tcp.
102
103
# Transport sur udp v4. En v6, la redirection de passerelle par défaut fonctionne mal (openvpn ne crée pas l'équivalent de la route /32 IPv4 vers le serveur vpn via la passerelle sous-jacente)
104
# Si on ne prévoit pas d'utiliser la directive "redirect-gateway def1", alors on peut choisir "proto udp6" pour monter le tunnel en IPv6.
105
#proto udp6
106
proto udp
107
#proto tcp
108
109
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
110
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
111
mssfix 1300
112
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
113
# quand ça dépasse.
114
fragment 1300
115
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
116
#mtu-disc yes
117
118
# En udp, Prévenir le serveur quand on termine, permet de relancer
119
# immédiatement sans attendre que le serveur se rende compte de la
120
# déconnexion par timeout.
121
explicit-exit-notify
122
123
# L'adresse du serveur.
124
remote vpn.illyse.net 1194
125
126
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
127
#http-proxy 192.0.2.1 8080
128
129
# Attendre un peu avant d'ajouter les routes.
130
route-delay 2
131
132
# Ne pas utiliser un port local statique, on est client de toutes façons.
133
nobind
134
135
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
136
# redémarrage.
137
persist-key
138
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
139
#persist-tun
140
141
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
142
redirect-gateway def1
143
144
# On peut aussi vouloir plutôt router seulement quelques destinations, par
145
# exemple ici tout Gitoyen:
146
#route 80.67.160.0 255.255.224.0
147
148 5 Baptiste Jonglez
# Activer IPv6 dans le tunnel
149 1 Pierre-Arnaud Poudret
tun-ipv6
150 5 Baptiste Jonglez
# et faire passer tout le trafic IPv6 via le VPN:
151 1 Pierre-Arnaud Poudret
route-ipv6 ::/1
152
route-ipv6 8000::/1
153
154
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
155
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
156
# fichier contenant ces deux informations, une par ligne.
157
auth-user-pass credentials
158
159 36 Alarig Le Lay
# Retenter le l’authentification même si le serveur la refuse (utile pour
160
# éviter de faire mourir le client si le serveur LDAP ne répond pas)
161
auth-retry nointeract
162
163 1 Pierre-Arnaud Poudret
# Un minimum de debug, c'est toujours bien.
164
verb 3
165
166
log-append /var/log/openvpn-illyse.log
167
168
# Certificat permettant de vérifier que c'est bien à Illyse que
169
# l'on se connecte et donc à qui on donne notre mot de passe.
170
remote-cert-tls server
171
<ca>
172
-----BEGIN CERTIFICATE-----
173
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
174
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
175
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
176
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
177
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
178
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
179
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
180
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
181
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
182
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
183
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
184
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
185
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
186
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
187
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
188
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
189
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
190
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
191
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
192
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
193
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
194
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
195
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
196
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
197
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
198
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
199
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
200
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
201
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
202
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
203
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
204
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
205
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
206
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
207
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
208
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
209
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
210
-----END CERTIFICATE-----
211
</ca>
212
</pre>
213
214
215 57 Florent Guillot
h4. +/etc/openvpn/credentials+
216
217 1 Pierre-Arnaud Poudret
(Seulement si vous voulez stocker votre mot de passe. En clair. Oui, c'est moche.)
218
219
Spécifier login et mot de passe sur deux lignes différences.
220
221
<pre>
222
jkleboulet-vpn1
223
omgsuchsecured123
224
</pre>
225
226
227 3 Pierre-Arnaud Poudret
h3. Mise à jour automatique de resolv.conf
228
229
Pour que resolv.conf soit mis à jour par openvpn avec les IP des resolvers DNS Illyse poussées par le serveur VPN.
230
231
<pre>
232
<mit-mit> Bon, ça marche, faut ajouter à la config :
233
<mit-mit> script-security 2
234
<mit-mit> up /etc/openvpn/update-resolv-conf
235
<mit-mit> down /etc/openvpn/update-resolv-conf
236
<mit-mit> et avoir resolvconf d'installé.
237
<mit-mit> (la première ligne étant l'autorisation de lancement de scripts externes)
238
</pre>
239
240 26 Côme chillie
h2. GNU/Linux (Network Manager)
241
242
Il est possible de configurer graphiquement le VPN via Network Manager.
243
(J’utilise la version KDE, des détails peuvent varier si vous utilisez la version gtk)
244
245 31 Florent Guillot
Téléchargez le fichier attachment:vpn-illyse.crt.
246
247 28 Côme chillie
Installez le backend openvpn pour Network Manager, puis créez une nouvelle connexion de type openvpn.
248 27 Côme chillie
Complétez comme suit, indiquez le chemin du fichier crt, votre login et votre mot de passe VPN :
249 1 Pierre-Arnaud Poudret
!vpn1.png!
250 62 Mossroy Mossroy
Il faut éviter de mettre le fichier crt dans un répertoire contenant un espace (suivant les versions, cela peut poser problème)
251
252 27 Côme chillie
Cliquez sur «Avancé», mettez 1300 dans «Taille du fragment UDP» et cochez «Restreindre la taille maximale du segment TCP (MSS)»
253
!vpn2.png!
254 62 Mossroy Mossroy
255
En cas de problème, regardez dans les logs (/var/log/syslog, au moins avec Ubuntu).
256
257 3 Pierre-Arnaud Poudret
258 29 Côme chillie
h2. Windows
259 1 Pierre-Arnaud Poudret
260 29 Côme chillie
Installez OpenVPN, par exemple en suivant la documentation présente ici : http://www.rezine.org/documentation/tunnels_chiffres/#index4h1
261
262
Créez ensuite le fichier suivant.  
263
Faites attention à l’extension des fichiers : parfois Windows ajoute une extension .txt aux fichiers sans le dire.
264
265 2 Pierre-Arnaud Poudret
+C:\Program Files\OpenVPN\config\illyse\illyse.ovpn+
266
<pre>
267
# C'est nous qui prenons l'initiative de nous connecter au serveur.
268
client
269
270
# On route de l'IP, on ne fait pas de l'ethernet.
271
dev tun0
272
273
# si on ne reçoit pas d'IP pour tun0:
274
# - soit on configure l'interface avec des ip privées bidon
275
#ifconfig 10.255.255.1 10.255.255.2
276
# - soit on utilise un script pour faire "ifconfig tun0 up"
277
#script-security 2
278
#up up.sh
279
280
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
281
# cependant notable que les restrictions d'accès Internet laissent souvent
282
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
283
# pas, essayez tcp.
284
285
#proto udp6
286
proto udp
287
#proto tcp
288
289
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
290
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
291
mssfix 1300
292
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
293
# quand ça dépasse.
294
fragment 1300
295
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
296
#mtu-disc yes
297
298
#mtu-test
299
#link-mtu 1300
300
#tun-mtu 1300
301
302
# En udp, Prévenir le serveur quand on termine, permet de relancer
303
# immédiatement sans attendre que le serveur se rende compte de la
304
# déconnexion par timeout.
305
explicit-exit-notify
306
307
# L'adresse du serveur.
308
remote vpn.illyse.net 1194
309
310
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
311
#http-proxy 192.0.2.1 8080
312
313
# Pour windows: utiliser route.exe.
314
route-method exe
315
316
# Attendre un peu avant d'ajouter les routes.
317
route-delay 2
318
319
# Ne pas utiliser un port local statique, on est client de toutes façons.
320
nobind
321
322
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
323
# redémarrage.
324
persist-key
325
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
326
#persist-tun
327
328
#ip-win32 ipapi
329
330
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
331 1 Pierre-Arnaud Poudret
redirect-gateway def1
332 2 Pierre-Arnaud Poudret
333 1 Pierre-Arnaud Poudret
# On peut aussi vouloir plutôt router seulement quelques destinations, par
334 2 Pierre-Arnaud Poudret
# exemple ici tout Gitoyen:
335
#route 80.67.160.0 255.255.224.0
336
337 5 Baptiste Jonglez
# Activer IPv6 dans le VPN
338 2 Pierre-Arnaud Poudret
tun-ipv6
339 5 Baptiste Jonglez
# Faire passer tout le trafic IPv6 via le VPN:
340 2 Pierre-Arnaud Poudret
route-ipv6 ::/1
341
route-ipv6 8000::/1
342
343
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
344
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
345
# fichier contenant ces deux informations, une par ligne.
346
auth-user-pass credentials
347
348
# Un minimum de debug, c'est toujours bien.
349
verb 3
350
351
#log-append /var/log/openvpn-illyse.log
352
353
# Certificat permettant de vérifier que c'est bien à Illyse que
354
# l'on se connecte et donc à qui on donne notre mot de passe.
355
remote-cert-tls server
356
<ca>
357
-----BEGIN CERTIFICATE-----
358
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
359
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
360
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
361
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
362
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
363
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
364
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
365
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
366
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
367
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
368
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
369
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
370
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
371
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
372
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
373
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
374
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
375
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
376
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
377
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
378
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
379
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
380
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
381
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
382
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
383
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
384
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
385
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
386
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
387
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
388
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
389
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
390
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
391
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
392
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
393
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
394
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
395
-----END CERTIFICATE-----
396
</ca>
397
</pre>
398 1 Pierre-Arnaud Poudret
399 29 Côme chillie
Il est également possible de créer un fichier contenant vos logins et mots de passe pour éviter de les taper à chaque connexion. Par exemple :
400 2 Pierre-Arnaud Poudret
401
+C:\Program Files\OpenVPN\config\illyse\credentials+
402
403
<pre>
404
jkleboulet-vpn1
405 1 Pierre-Arnaud Poudret
omgsuchsecured123
406
</pre>
407 29 Côme chillie
408
Si vous ne voulez pas utiliser un tel fichier, commentez la ligne «auth-user-pass credentials» dans la configuration.
409 4 Fabien Michel
410
h2. Mac OS X
411
412
Installer le client OpenVPN Tunnelblick : https://code.google.com/p/tunnelblick/
413
414
Créer un fichier illyse.ovpn avec la configuration voulue. Celle indiquée ci-dessous fonctionne sans modification necessaire.
415
Double-cliquer sur le fichier afin que TunnelBlick import la configuration.
416
A la première connexion, il va demander un couple login/password qu'il sera possible de stocker dans le trousseau.
417
418
Paramètres modifiés par rapport à la configuration pour Linux :
419
* log-append : Ce paramètre n'est pas accepté. Mais tunnelblick log déjà en interne.
420
* auth-user-pass : On ne précise pas de fichier de credential, c'est géré par Tunnelblick et Keychains au moment de la connexion
421
* Les commentaires ont été retirés car le fichier est tronqué au moment de l'import s'il est trop long (ce qui était le cas)
422
423
+illyse.ovpn+
424
<pre>
425
client
426
dev tun0
427
proto udp
428
mssfix 1300
429
fragment 1300
430
explicit-exit-notify
431
remote vpn.illyse.net 1194
432
#http-proxy 192.0.2.1 8080
433
route-delay 2
434
nobind
435
436
persist-key
437
persist-tun
438
439
redirect-gateway def1
440
#route 80.67.160.0 255.255.224.0
441
442
tun-ipv6
443
route-ipv6 ::/1
444
route-ipv6 8000::/1
445
446
auth-user-pass
447
verb 3
448
449
remote-cert-tls server
450
<ca>
451
-----BEGIN CERTIFICATE-----
452
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
453
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
454
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
455
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
456
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
457
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
458
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
459
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
460
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
461
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
462
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
463
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
464
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
465
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
466
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
467
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
468
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
469
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
470
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
471
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
472
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
473
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
474
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
475
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
476
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
477
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
478
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
479
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
480
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
481
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
482
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
483
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
484
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
485 1 Pierre-Arnaud Poudret
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
486
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
487
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
488
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
489
-----END CERTIFICATE-----
490
</ca>
491 15 Rémi Bouhl
492
</pre>
493
494
h2. Android 
495 1 Pierre-Arnaud Poudret
496 61 Florent Guillot
Configuration OpenVPN pour Android (testé sous Android 7.0 et OpenVPN for Android 0.7.5)
497
Ci-après un fichier de configuration qui devrait fonctionner avec l'application Android "OpenVPN for Android", 
498
Disponible sur F-Droid : https://f-droid.org/en/packages/de.blinkt.openvpn/
499 15 Rémi Bouhl
Ou au pire sur le PlayStore : https://play.google.com/store/apps/details?id=de.blinkt.openvpn
500 61 Florent Guillot
Posez le fichier de configuration, renommé en VPN-Illyse.ovpn par exemple, sur l'appareil.
501 15 Rémi Bouhl
Une fois l'application installée et démarrée, cliquez sur le dossier en bas à droite et chezchez le fichier de configuration.
502
Il suffit de renseigner les identifiants.
503 1 Pierre-Arnaud Poudret
504 15 Rémi Bouhl
<pre>
505 1 Pierre-Arnaud Poudret
506
#
507
# Fichier de configuration VPN Illyse pour Android
508 61 Florent Guillot
# 2018-09-02
509 15 Rémi Bouhl
#
510
client
511 61 Florent Guillot
dev tun0
512
proto udp
513
mssfix 1300
514
fragment 1300
515
explicit-exit-notify
516
517
remote vpn.illyse.net 1194
518
route-delay 2
519
nobind
520
521
persist-key
522
redirect-gateway def1
523
524
tun-ipv6
525
route-ipv6 ::/1
526
route-ipv6 8000::/1
527
528 15 Rémi Bouhl
auth-user-pass
529 61 Florent Guillot
auth-retry nointeract
530 15 Rémi Bouhl
remote-cert-tls server
531
<ca>
532
-----BEGIN CERTIFICATE-----
533
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
534
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
535
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
536
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
537
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
538
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
539
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
540
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
541
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
542
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
543
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
544
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
545
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
546
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
547
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
548
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
549
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
550
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
551
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
552
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
553
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
554
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
555
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
556
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
557
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
558
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
559
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
560
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
561
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
562
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
563
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
564
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
565
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
566
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
567
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
568
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
569
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
570 16 Rémi Bouhl
-----END CERTIFICATE-----
571 4 Fabien Michel
</ca>
572
573 8 Baptiste Jonglez
</pre>
574 30 Florent Guillot
575
h2. Yunohost
576 32 Florent Guillot
577 30 Florent Guillot
h3. Installer le client VPN
578 32 Florent Guillot
579
* Dans Applications > Install, en bas de la page, entrer 'https://github.com/labriqueinternet/vpnclient_ynh' dans le champ *Install custom app*.
580
* Lire et valider l'avertissement.
581 1 Pierre-Arnaud Poudret
* Valider l'installation en cliquant sur le bouton *Install*
582 40 Florent Guillot
583 34 Florent Guillot
h3. Configurer le client VPN
584 51 Florent Guillot
585 39 Florent Guillot
h4. Méthode automatique, ".cube"
586
587 41 Florent Guillot
Le .cube est un fichier permettant de configurer l'application vpn-client automatiquement. Idéalement, ce fichier devrait être automatiquement généré pour chaque adhérant dans notre SI, Coin. Ce n'est pour l'instant pas encore le cas. Il faut donc faire son .cube à la main, en utilisant la base suivante :
588 50 Florent Guillot
* télécharger le .cube de base: attachment:illyse.cube
589 46 Florent Guillot
* l'éditer avec n'importe quel éditeur de texte (notepad, gedit, nano, vim, etc) afin de remplacer les 4 champs vous concernant: ip6_net, ip4_addr, login_user, login_passphrase. Ces infos sont à retrouver dans Coin (cf #Avant-de-commencer)
590 40 Florent Guillot
* importer le .cube dans l'application vpn_client (onglet "Automatic" dans la configuration de l'application)
591 48 Florent Guillot
592 39 Florent Guillot
h4. Méthode manuelle
593 52 Florent Guillot
594 42 Florent Guillot
La méthode ".cube" décrite ci-dessus est vivement conseillée, car elle permet de simplifier la procédure et d'éviter les erreurs. La méthode manuelle est donnée uniquement à titre informatif.
595 34 Florent Guillot
596
* Dans Applications > VPN Client, cliquer sur l'URL _https://maBrique.nohost.me/vpnadmin_
597
> * Server Address: vpn.illyse.net
598
> * Server Port: 1194
599
> * Protocol: UDP
600
> * Advanced: copier coller la configuration suivante:
601
<pre>
602
remote <TPL:SERVER_NAME>
603
proto <TPL:PROTO>
604
port <TPL:SERVER_PORT>
605
606
pull
607
nobind
608
dev tun
609
tun-ipv6
610
keepalive 10 30
611
resolv-retry infinite
612
613
mssfix 1300
614
615
route-delay 2
616
nobind
617
persist-key
618
619
# Authentication by login
620
<TPL:LOGIN_COMMENT>auth-user-pass /etc/openvpn/keys/credentials
621
622
# UDP only
623
<TPL:UDP_COMMENT>explicit-exit-notify
624
<TPL:UDP_COMMENT>fragment 1300
625
626
# TLS
627
tls-client
628
<TPL:TA_COMMENT>tls-auth /etc/openvpn/keys/user_ta.key 1
629
remote-cert-tls server
630
ns-cert-type server
631
ca /etc/openvpn/keys/ca-server.crt
632
<TPL:CERT_COMMENT>cert /etc/openvpn/keys/user.crt
633
<TPL:CERT_COMMENT>key /etc/openvpn/keys/user.key
634
635
# Logs
636
verb 3
637
mute 5
638
status /var/log/openvpn-client.status
639
log-append /var/log/openvpn-illyse.log
640
641
# Routing
642
route-ipv6 2000::/3
643 35 Florent Guillot
redirect-gateway def1
644
</pre>
645
> * Server CA: Téléchargez le fichier attachment:vpn-illyse.crt et le téléverser.
646
> * Username: pdupond-vpn1 (information issue de coin, cf section #Avant-de-commencer)
647 38 Florent Guillot
> * Password: idem
648
> * First resolver: 80.67.169.12
649 1 Pierre-Arnaud Poudret
> * 2nd resolver : 2001:913::8
650 35 Florent Guillot
651 30 Florent Guillot
L'ensemble des autres champs est à laisser sur la valeur par défaut.
652 59 Sylvain David
653
h2. pfsense 
654
655
La configuration OpenVPN pour pfsense fonctionne parfaitement. Elle a été testée sous pfsense 2.4.2.
656
Voici comment effectuer cette configuration étape par étape :
657
658
h3. installation de l'autorité de certification Illyse.
659
660
- Naviguez dans le menu "system / Certificates Manager / CAs"
661
- cliquez sur "add" puis remplissez les champs comme il suit :
662
663
Descriptive Name : illyse
664
Method : Import an existing Certificate Auhtority
665
Certificate Data : copiez/collez la CA d'illyse
666
<pre>
667
-----BEGIN CERTIFICATE-----
668
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
669
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
670
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
671
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
672
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
673
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
674
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
675
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
676
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
677
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
678
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
679
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
680
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
681
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
682
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
683
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
684
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
685
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
686
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
687
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
688
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
689
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
690
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
691
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
692
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
693
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
694
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
695
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
696
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
697
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
698
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
699
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
700
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
701
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
702
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
703
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
704
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
705
-----END CERTIFICATE-----
706
</pre>
707
Puis sauvez.
708
709
h3. installation de la configuration VPN
710 60 Sylvain David
711 59 Sylvain David
- naviguez dans le menu "VPN / OpenVPN / Client"
712 60 Sylvain David
- cliquez sur "add" puis remplissez les champs comme il suit :
713 59 Sylvain David
(NB : les champs non mentionnés dans cette documentation sont laissé à vide et/ou à leur valeur par défaut.)
714 60 Sylvain David
715 59 Sylvain David
<pre>
716
Server mode : Peer to Peer SSL/TLS
717
Protocol : UDP IPv4 and IPv6 on all interfaces (multihome)
718 1 Pierre-Arnaud Poudret
device mode : tun layer3 tunnel mode
719
interface : LAN
720 59 Sylvain David
server host or address : 89.234.140.3
721 60 Sylvain David
Description : illyse
722
</pre>
723 59 Sylvain David
<pre>
724
Username : votre login fournit par illyse. exemple : johndoe-vpn1
725 60 Sylvain David
password : le mot de passe que vous avez créé vous même sur coin
726
</pre>
727 59 Sylvain David
<pre>
728 1 Pierre-Arnaud Poudret
Peer certificate auhtority : illyse
729
client certificate : None (Username and/or password required)
730 59 Sylvain David
Encryption algorithm : BF-CBC (128 bit ley by default, 64 bit block)
731 1 Pierre-Arnaud Poudret
Enable NCP : coché
732 59 Sylvain David
NCP algorithm : sélectionnez AES-256-GCM et AES-128-GCM
733 60 Sylvain David
Auth digest algorithm : SHA1 (160-bit)
734
</pre>
735 59 Sylvain David
<pre>
736
Compression : Omit preference, + Disable apaptative LZO Compression [legacy style, comp-no]
737 60 Sylvain David
Topology : Subnet - One IP address per client in a common subnet
738 59 Sylvain David
</pre>
739
Custom options : copiez collez ceci :
740
<pre>
741
redirect-gateway def1;fragment 1300;mssfix 1300
742 1 Pierre-Arnaud Poudret
</pre>
743 59 Sylvain David
cliquez sur "save"
744 1 Pierre-Arnaud Poudret
745
h3. autorisez votre réseau local à sortir par illyse.
746
747
Le VPN devrait monter tout seul. Toutefois, il faut encore configurer pfsense pour autoriser vos machines du LAN à sortir par le tunnel.
748 60 Sylvain David
Pour cela, allez dans Firewall / NAT / Outbound
749 59 Sylvain David
<pre>
750 60 Sylvain David
outbound NAT mode : "Hybrid Outbound NAT rule generation. (Automatic Outbound NAT + rules below)"
751 59 Sylvain David
</pre>
752
cliquez sur "save"
753
754 60 Sylvain David
Toujours dans ce menu, dans "mapping", cliquez sur "add"
755
<pre>
756
interface   : ovpnc1-illyse        # il s'agit de l'interface réseau virtuelle qui porte votre tunnel VPN
757
protocol    : any
758 59 Sylvain David
source      : network              # remplissez le champs réseau avec l'IP de votre réseau local. exemple : 192.168.0.0/24
759
destination : any
760
translation : interface address
761 60 Sylvain David
description : autoriser le LAN à sortir par Illyse
762 59 Sylvain David
</pre>
763 9 Baptiste Jonglez
cliquez sur "save"
764 8 Baptiste Jonglez
765 9 Baptiste Jonglez
h1. Configurations avancées
766 8 Baptiste Jonglez
767 25 Baptiste Jonglez
h2. Client sans IP montée sur le tunnel
768 1 Pierre-Arnaud Poudret
769 25 Baptiste Jonglez
Pour ceux qui veulent bricoler, il est possible (via l'interface web abonné) ne pas monter du tout d'IP (v4 ou v6) sur l'interface tun du client. Dans ce cas, les paquets destinés aux ranges v4 et v6 de l'abonné sont toujours routés correctement vers le client, mais il appartient à l'abonné de s'assurer qu'ils seront correctement routés plus avant sur son réseau interne.  Ça peut être utile si on ne veut pas utiliser l'IPv4 publique Illyse directement sur le routeur qui monte le VPN, mais sur une autre machine du réseau local.
770
771
Attention, si il n'y a pas d'IPv4 installée sur l'interface tun, OpenVPN est très bête et n'arrivera pas à installer la route par défaut par le VPN... OpenVPN essaie d'ajouter des routes avec 89.234.140.129 comme gateway, mais il ne sait pas joindre cette IP.  Pour résoudre la stupidité d'OpenVPN^W^W^W ce problème, on utilise un script qui rajoute la route :
772
773
+/etc/openvpn/illyse.conf+
774
<pre>
775
...
776
route-delay 2
777
redirect-gateway def1
778
779
script-security 2
780
up illyse-up.sh
781
...
782
</pre>
783
784
+/etc/openvpn/illyse-up.sh+
785
<pre>
786
#!/bin/sh
787
tun_dev="$1"
788
ip link set "$tun_dev" up
789
ip route add "$route_vpn_gateway" dev "$tun_dev"
790
exit 0
791
</pre>
792 10 Baptiste Jonglez
793
h2. Utiliser simultanément la connexion normale et le VPN, sortie par défaut par la connexion normale
794
795
Lorsqu'on a un serveur, on peut avoir envie d'être joignable à la fois via la connexion normale (e.g. Free) et via le VPN.  Pour se faire, on utilise le **policy routing** du noyau Linux : quand quelqu'un nous parle sur l'IP normale, on lui répond via la connexion normale, et quand quelqu'un nous parle sur l'IP du VPN, on répond via le VPN.  Notons que ça ne concerne que les connexions entrantes (donc principalement utile pour un serveur).
796
797
Pour les connexions sortantes, on a le choix : soit on passe dans le VPN, soit on passe par la connexion normale.  La configuration ci-dessous fait passer les connexions sortantes par la connexion normale (parce que c'est plus simple).
798
799
Note : il faut s'assurer de bien avoir configuré une IPv4 et une IPv6 sur l'interface tun (sur https://coin.illyse.org).  Sinon, les scripts ne feront rien.
800
801
Bonus : si vous avez un noyau Multipath-TCP, cette configuration permettra d'utiliser les deux connexions en parallèle ! Pratique pour joindre Youtube si on est chez Free, par exemple :)
802
(la configuration ci-dessous est similaire à http://multipath-tcp.org/pmwiki.php/Users/ConfigureRouting )
803
804
+/etc/openvpn/up.sh+
805
<pre>
806
#!/bin/bash
807
808
dev="$1"
809
tun_mtu="$2"
810
link_mtu="$3"
811
local_ip="$4"
812
remote_ip="$5"
813
814
# Routing table to use
815
table=4242
816
817
# Source-specific routing: use the normal default route by default,
818
# but use the VPN for replying to packets coming from the VPN.
819
# IPv4
820 58 Sylvain David
[ -n "$local_ip" ] && ip rule add from "$local_ip" table "$table" && ip route add default dev "$dev" table "$table"
821
# IPv6
822
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule add from "$ifconfig_ipv6_local" table "$table" && ip -6 route add default dev "$dev" table "$table"
823
</pre>
824
825
+/etc/openvpn/down.sh+
826
<pre>
827
#!/bin/bash
828
829
dev="$1"
830
tun_mtu="$2"
831
link_mtu="$3"
832
local_ip="$4"
833
remote_ip="$5"
834
835
table=4242
836
837
# Delete table for source-specific routing.
838
[ -n "$local_ip" ] && ip rule del from "$local_ip" && ip route del default table "$table"
839
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule del from "$ifconfig_ipv6_local" && ip -6 route del default table "$table"
840
841
exit 0
842
</pre>
843
844
+/etc/openvpn/illyse.conf+
845
<pre>
846
## Configuration VPN Illyse pour accepter des connexions entrantes
847
## à la fois via le VPN et via la connexion normale, grâce au policy routing (Linux uniquement)
848
## https://www.illyse.org/projects/publicdocs/wiki/Vpn_doc_user#Utiliser-simultanément-la-connexion-normale-et-le-VPN
849
850
# Gestion des routes via des scripts externes.
851
script-security 2
852
up up.sh
853
down down.sh
854
855
856
# Reste de la configuration normale.
857
# Penser à enlever "redirect-gateway" et "route-ipv6", on gère les
858
# routes via up.sh et down.sh
859
client
860
remote vpn.illyse.net 1194
861
#http-proxy 192.0.2.1 8080
862
dev tun0
863
864
#proto udp6
865
proto udp
866
#proto tcp
867
explicit-exit-notify
868
869
mssfix 1300
870
fragment 1300
871
872
route-delay 2
873
nobind
874
persist-key
875
persist-tun
876
877
tun-ipv6
878
879
auth-user-pass credentials
880
881
verb 3
882
log-append /var/log/openvpn-illyse.log
883
884
# Certificat permettant de vérifier que c'est bien à Illyse que
885
# l'on se connecte et donc à qui on donne notre mot de passe.
886
remote-cert-tls server
887
<ca>
888
-----BEGIN CERTIFICATE-----
889
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
890
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
891
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
892
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
893
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
894
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
895
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
896
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
897
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
898
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
899
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
900
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
901
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
902
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
903
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
904
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
905
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
906
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
907
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
908
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
909
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
910
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
911
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
912
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
913
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
914
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
915
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
916
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
917
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
918
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
919
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
920
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
921
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
922
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
923
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
924
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
925
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
926
-----END CERTIFICATE-----
927
</ca>
928 21 Mit Mit
</pre>
929
930
h2. Utiliser simultanément la connexion normale et le VPN, sortie par défaut via le VPN
931
932
Dans la configuration précédente, les deux IPs, FAI et VPN, sont accessibles de l'extérieur et répondent correctement.
933
La machine toutefois utilise par défaut la sortie FAI plutôt que le VPN.
934
Le cas décrit ici a son IP FAI obtenue par DHCP, avec la table de routage main, et sans IPv6.
935
Il faut bidouiller les routes pour que si on contacte l'IP du serveur VPN, on passe bien par l'IP FAI et l'interface qui correspond, puis répondre à ce qui vient de l'IP FAI par la table main, et enfin par défaut sortir par le table correspondant au VPN.
936
937
Étape 1, dans le fichier illyse.conf, il faut ajouter l'option 'ifconfig-noexec' pour éviter qu'openVPN ne monte l'IP du VPN avant qu'on ne gère ça dans le script up.sh
938
Étape 2, changer les scripts up.sh et down.s. Actuellement, on n'a pas trouvé de solution propre pour éviter de coder en dur des paramètres dans ce scripts.
939
+/etc/openvpn/up.conf+
940
<pre>
941
#!/bin/bash
942
943
dev="$1"
944
isp_dev="eth0"
945
tun_mtu="$2"
946
link_mtu="$3"
947
local_ip="$4"
948
remote_ip="$5"
949
isp_ip="WWW.XXX.YYY.ZZZ"
950
isp_gateway="WWW.XXX.YYY.ZZZ"
951
vpn_server="89.234.140.3"
952
953
# Routing table to use
954
tableVPN=4242
955
tableLOC=1337
956
957
# IP inconnue de COIN, donc tun0 à monter
958
ip link set "$dev" up
959
ip addr add "$local_ip"/32 dev "$dev"
960
961
# Source-specific routing: use the normal default route by default,
962
# but use the VPN for replying to packets coming from the VPN.
963
# IPv4
964
if [ -n "local_ip" ]; then
965
  ip rule add pref 31000 lookup "$tableLOC"
966
  ip rule add pref 31050 from "$isp_ip" lookup main
967
  ip rule add pref 31100 lookup "$tableVPN"
968
  ip route add default dev "$dev" table "$tableVPN"
969
  ip route add "$vpn_server" via "$isp_gateway" table "$tableLOC" dev "$isp_dev"
970
fi
971
972
# IPv6
973
[ -n "$ifconfig_ipv6_local" ] && ip -6 addr add "$ifconfig_ipv6_local" dev "$dev" && ip -6 route add default dev "$dev"
974
975
exit 0
976
</pre>
977
978
+/etc/openvpn/down.conf+
979
<pre>
980
dev="$1"
981
tun_mtu="$2"
982
link_mtu="$3"
983
local_ip="$4"
984
remote_ip="$5"
985
isp_ip="WWW.XXX.YYY.ZZZ"
986
isp_gateway="WWW.XXX.YYY.ZZZ"
987
vpn_server="89.234.140.3"
988
989
# Routing table to use
990
tableVPN=4242
991
tableLOC=1337
992
993
# Delete table for source-specific routing.
994
if [ "$local_ip" ]; then
995
  ip route del "$vpn_server" via "$isp_gateway" table "$tableLOC"
996
  ip route del default dev "$dev" table "$tableVPN"
997
  ip rule del pref 31100 lookup "$tableVPN"
998
  ip rule del pref 31050 from "$isp_ip" lookup main
999
  ip rule del pref 31000 lookup "$tableLOC"
1000
fi
1001
1002
[ -n "$ifconfig_ipv6_local" ] && ip -6 route del default dev "$dev" && ip -6 addr del "$ifconfig_ipv6_local" dev "$dev"
1003
1004 37 Mit Mit
exit 0
1005
</pre>
1006
1007
h3. Utiliser simultanément la connexion normale et le VPN, sortie par défaut via le VPN, et faire AP WiFi
1008
1009
On a foutu le bordel dans les routes, ce qui fait que hostapd n'arrive pas à faire tomber le bousin en marche, car il met ses routes dans la table main au lieu de les mettre dans la tableVPN  4242.
1010
Du coup, on l'aide (en supposant que le wlan soit en 192.168.2.0/24) :
1011
<pre>
1012
ip route del 192.168.2.0/24 dev wlan0 table main
1013
ip route add 192.168.2.0/24 dev wlan0 table 4242
1014 1 Pierre-Arnaud Poudret
</pre>
1015
Il ne reste plus qu'à activer le NAT sur l'interface tun0 du VPN et paf ! On fait un beau AP WiFi (vilainement naté) qui fournit une connexion Illyse.